Ciberatacantes explotan activamente una vulnerabilidad crítica de Oracle WebLogic (CVE-2020-14882)

Recientemente, ha crecido la investigción sobre los servidores que utilizan Critical Oracle WebLogic. Esto, ya que es vulnerable a una falla decisiva que permite a los actores de la amenaza controlar el sistema con un esfuerzo limitado y sin necesidad de autenticación. Oracle WebLogic Server es uno de los servidores de aplicaciones más famosos que […]

Recientemente, ha crecido la investigción sobre los servidores que utilizan Critical Oracle WebLogic. Esto, ya que es vulnerable a una falla decisiva que permite a los actores de la amenaza controlar el sistema con un esfuerzo limitado y sin necesidad de autenticación.

Oracle WebLogic Server es uno de los servidores de aplicaciones más famosos que se utiliza para crear y expandir todas las aplicaciones empresariales Java EE. Según los investigadores de ciberseguridad, WebLogic Server tiene una falla que se llama CVE-2020-14882; esta falla se ubica en el rango 9.8 de 10 en la escala CVSS. 

Por otro lado, Oracle afirmó que el ataque es de “poca” complicación y no necesita ventajas ni comunicación con el usuario. Esta falla puede ser fácilmente aprovechada por los actores de amenazas con acceso a la red a través de HTTP.

Versiones vulnerables de WebLogicHay un total de 5 versiones vulnerables de WebLogic que se han encontrado en este ataque, y aquí se mencionan a continuación:

• 10.3.6.0.0
• 12.1.3.0.0
• 12.2.1.3.0
• 12.2.1.4.0 
• 14.1.1.0.0

Los ciberdelincuentes están buscando objetivos de forma activa

Según el informe del investigador de ciberseguridad, Voidfyoo de Chaitin Security Research Lab, Oracle ha solucionado la vulnerabilidad este mes al lanzar una Actualización de parche crítico (CPU).

Además, el Instituto de Tecnología SANS había creado Honeypots que detectó los ataques poco después de que el código de explotación para CVE-2020-14882 apareciera en el espacio público. Después de saber que los actores de la amenaza apuntan a su aplicación, la compañía instó a los clientes a que aceleraran una solución para una falla crítica en su servidor WebLogic bajo ataque activo. 

Direcciones IP utilizadas

El decano de investigación del instituto SANS Sr. Johannes Ullrich, afirmó que los intentos explotados sobre los honeypots ocurren desde las siguientes direcciones IP, y aquí se mencionan a continuación: –

• 114.243.211.182 – Acreditado ante China Unicom
• 139.162.33.228 – Acreditado ante Linode (EE. UU.)
• 185.225.19.240 – Acreditado ante MivoCloud (Moldavia)
• 84.17.37.239 – Acreditado ante DataCamp Ltd (Hong Kong)

Sin embargo, el Instituto SANS ya ha iniciado el método de alertar a los proveedores de servicios de Internet correspondientes de la actividad ofensiva desde las direcciones IP mencionadas anteriormente. Los exploits utilizados en este ataque parecen estar basados ​​en los detalles técnicos pronunciados por el investigador de seguridad Jang.

Aparte de esto, Oracle afirmó que había recibido varios informes sobre los atacantes, y el informe afirmaba que los piratas informáticos tenían como objetivo la vulnerabilidad que había sido parcheada el mes pasado. 

Es por eso que los investigadores advirtieron en mayo de 2019 que la actividad maliciosa está explotando una vulnerabilidad de deserialización crítica de Oracle WebLogic publicada recientemente (CVE-2019-2725). Esta vulnerabilidad también incluye la propagación del ransomware “Sodinokibi”.